使用 Amazon GuardDuty 偵測威脅

Amazon GuardDuty 是一種威脅偵測服務，可協助您使用 AWS 環境來保護您的帳戶、容器、工作負載和資料。透過使用機器學習 (ML) 模型和異常和威脅偵測功能，GuardDuty 會持續監控不同的日誌來源，以識別環境中的潛在安全風險和惡意活動，並排定其優先順序。例如，GuardDuty 將偵測潛在威脅，例如異常或可疑的秘密存取，以及憑證洩漏，以防它透過執行個體啟動角色偵測專門為 Amazon EC2 執行個體建立，但正從其中另一個帳戶使用中的登入資料 AWS。如需詳細資訊，請參閱 Amazon GuardDuty 使用者指南。

另一個用於偵測的範例使用案例是異常行為。例如，如果 AWS Secrets Manager 通常使用 Java 開發套件從實體取得 create-secret、describe-secret、 get-secret-value和 list-secrets 呼叫，然後不同的實體開始 AWS CLI 從 VPN 外部呼叫batch-get-secret-value和get-secret-value使用 ，GuardDuty 可以報告第二個實體異常呼叫 APIs 的調查結果。如需詳細資訊，請參閱 GuardDuty IAM 調查結果類型 CredentialAccess：IAMUser/AnomalousBehavior。